医療情報の利活用の必要性が叫ばれていますが、その際に必ず問題になるのが、十分なセキュリティが確立されているかどうかです。
医療機関の情報については、センシティブな情報が多く、情報セキュリティ体制が利必要不可欠となっています。
このような情報セキュリティに対するルールについては、行政などからも、指針などが公表されており、事業者としても、これを遵守することが必要になってきています。そこで、今回は、医療情報とセキュリティについて、解説していきます。
行政からは、各種ガイドラインの策定されています。
厚生労働省「医療情報システムの安全管理に関するガイドライン 第5版」
総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」
経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」
これは「3省3ガイドライン」と呼ばれており、医療情報のセキュリティ対策では、必ず参照する必要があります。
「3省3ガイドライン」は、情報セキュリティ体制と、保存義務の例外要件(電子保存と外部保存)について規律しています。
個人情報保護法20条では、次のように規定しています。
「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」
また、厚生労働省「医療情報システムの安全管理に関するガイドライン 第5版」は、安全管理措置について、規定しています。
具体的には、安全管理措置を、①組織的安全管理対策、②物理的安全対策、③技術的安全対策、④人的安全対策の四つの項目に分類し、それ以外にも、いくつかの項目について論じています。
上記ガイドラインでは、以下のように規定されています。
医療機器の中には、実態はネットに接続されたコンピュータであり、情報セキュリティ体制の対象とする必要が高いものがある。
総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」で記載されています。
医療情報システムにクラウドサービスを用いる場合、クラウドサービス事業者の提供するサービスレベルが提供コストに大きく左右されます。
サービスレベルは安全管理対策に直接影響するので、医療機関等とクラウドサービス事業者との間でサービスレベルに関する合意を形成する必要があります。
クラウドサービス事業者は、上記総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」で示される対策および対応内容を遵守したうえでサービスを提供することが求められ、SLAの内容もこれらのガイドラインの要求事項を満たすものでなければならないのです。
また、データの保存場所については、「医療機関等が所管官庁に対して法令に基づき提出する資料を円滑に提出できるよう、サービスの提供に用いるアプリケーション、プラットフォーム、サーバ・ストレージ等は国内法の執行が及ぶ場所に設置する」として、日本国内にサーバ等が設置されることが要求されています。
診療録等の医療情報については、記録媒体については、条文上「診療録に記載」とあるのみであって、明確に書面に限定する文言上の制約はなかったのですが、保存義務を電子化するe–文書法が制定される際に、診療録等の医療情報もe–文書法の対象と整理されました。
e–文書法は、紙の書面の作成義務、保存義務等について、定めた法律です。
e–文書法省令は、診療録などの医療情報に関する書面については、特に厳格な対応を要する書面として規定されています。
これらの書面については、厳格な三要件(見読性、真正性、保存性)を規定しており、これらは「電子保存の3原則」と呼ばれています。
必要に応じ電磁的記録に記録された事項を出力することにより、直ちに明瞭かつ整然とした形式で使用に係る電子計算機その他の機器に表示し、および書面を作成できるようにすることをいいます。
電磁的記録に記録された事項について、保存すべき期間中における当該事項の改変または消去の事実の有無およびその内容を確認することができる措置を講じ、かつ、当該電磁的記録の作成に係る責任の所在を明らかにしていることをいいます。
電磁的記録に記録された事項について、保存すべき期間中において復元可能な状態で保存することができる措置を講じていることをいいます。
医療情報は、センシティブな情報であり、万が一の事故が起こると、取り返しのつかないことになります。
医療機関としては、しっかりと、ガイドラインに沿った運営をしましょう。